当前位置:金融信息化 > 正文
连载③‖业务连续性——塑造(构建)业务连续能力

  业务连续性管理能识别风险和确定处置风险采用的步骤,使组织能够有效应对导致中断的事件或状况,通过制定了策略,使组织职能保持持续运作,并要求成员训练有素、随时待命,并依照详细计划执行策略,从而确保完成任务所需的资源在必要时可用。

  但在这之前,必须先建立业务持续管理体系(BCMS)的组织。管理层承诺(领导)、方案的适用范围和目标的正确选择,以及政策和程序的制定,是使流程到位的关键。在制定管理体系的早期阶段,掌控管理体系实施的最佳方法是决定项目规划和采用甘特图。

  下文从管理层承诺(领导)、BCMS适用范围、政策、业务连续性的目标和项目规划等方面进行构建业务持续能力分析。

  1、管理层承诺(领导)

  保证任何业务连续性管理工作成功的基础是组织的高级管理层对方案作出的郑重、明确的承诺。

  近年来,要具备业务连续性的能力,就必须先获得管理层的支持。通常包括让高级管理层同意这一观点,即:业务连续性计划是值得组织追求的。这是假设管理层将为方案提供必要资源,并在整个组织中传达其支持态度的情况下实现的。

  业务连续性管理人员可以在未获得高层管理人员高度认同的情况下,成功建立组织的部分业务连续性能力,但通常实现的方式有限,且就标准的目的而言,这种方式往往是不够的。标准要求相当部分的各级管理层能够积极参与BCMS(或组织恢复能力管理体系),尤其是高级管理层。对于一个已定期监控和能够管理风险并且认识到恢复能力价值的组织,已不是难以逾越的障碍。

  当我们提到管理层的支持时,我们其实说的是整个组织对业务连续性的承诺。管理体系中的高级管理层和管理人员通过鼓励和授权人员有效地履行他们的业务连续性管理职责,来证明自己的领导能力体现在多方面。

  2、业务连续性管理人员

  选择有权执行管理体系的主管业务连续性工作人员。

  高层管理人员的重要任务是确保发挥BCMS的作用和职责,以及在整个组织的相关部分中(即管理体系的适用范围之内)分配必要的权利。根据ISO22301的指导性文件,必须任命一名高层管理人员来全权负责BCMS 。该负责人以及整个高层管理团队负责在组织中实现管理体系的目标。

  根据组织的规模和复杂性,选择一名或多名人员来管理此方案。虽然这些职位所在人员可能负有其他责任,但必须要有权力实施和维护业务持续性管理体系。一个成功的管理人员会有优秀的员工和领导能力,且能够在应组织要求度过灾难时,在可能的高压力下轻松自如的工作。一个优秀的管理人员可以通过对某个问题有较深入的体验而拥有专家的专业知识。许多业务连续性部门,就是由主要在风险管理和应急管理方面有经验的人员和其他来自信息技术相关领域的人员组成的。

  3、BCMS适用范围

  限定BCMS的范围是一个重要的步骤,因为它影响到方案的成功或失败。

  如果尚未决定,业务连续性管理人员的第一个步是确定BCMS的适用范围以及可能排除的对象。也就是说,确定什么可以采用BCMS而什么不可以采用。

  这并不意味着无法为某一大型组织,一次性地制定完整的方案,或者适用范围不得包括组织所有的内外部要求。

  适用范围可以缩小到组织的一个部门、某个地理位置或是职能区域,如创收部门等较小单元,以取得积极成果,但同时要明白可能超出选择边界的上下游的依赖关系(输入和输出)将必需成为范围的一部分。适用范围应始终考虑组织的状况,并说明综合应急管理的要素,尤其是在使用美国工业安全协会(ASIS)的标准时,若在政策声明中进行说明会更好。

  缩小适用范围的原因还包括组织希望分阶段实施BCMS,集中关注组织的特定部门或产品线,根据风险和价值流进行优先级区分或只要保证组织的一部分获得成功。对于过于复杂的组织,如需要程序迅速到位时,资金有限、控制成本或降低审计成本的战略决策也是考虑缩小适用范围的原因。

  BCMS的适用范围有时可作为政策和程序文件的一部分。该范围必须简洁、准确,且就标准的目的而言,必须描述被排除在范围外的事项和排除的原因。最终的目的是设计一个有效、可持续的BCMS。

  4、政策

  管理层承诺也可以通过一份在整个组织中进行传达、执行和了解,且可供第三方使用的强效书面业务持续性政策和程序来显示。

  在整个组织中进行传达、执行并掌握的一份强效的书面业务持续性政策和程序也能反映管理层承诺。传达政策的方法可以包括在公司内部业务连续性网站上进行政策重述,在指导委员会会议上进行讨论,指导委员会进行政策年度审查以及将政策开放给外部第三方等。

  高层管理人员应制定业务连续性管理政策和程序,该政策和程序应符合组织愿景,且强制要求执行BCMS所有内容,包括综合应急管理的所有内容。

  该政策和程序应遵循组织制定一般政策和程序的过程,但对于该标准的目的而言,应制定业务连续性目标。任何愿景或使命声明还应与组织的一致,可以包括对管理制度的范围和限制、主管和其代表,包括负责管理体系的人员进行讨论,并且由一名高层管理人员签署。该政策和程序要确定BCMS的目的,因为所有好的政策和程序文件通常都会做到这一点。管理体系必须遵循的其他文件、标准、政策或规定的引用可以包括在内。

  该政策应定期(每年一次)或当发生巨大变化,影响组织、风险或BCMS时,审查其相关性。

  5、业务连续性的目标和项目规划

  管理人员必须辨识管理体系范围内可能影响组织达到BCMS目的和目标的能力的内外部问题。

  ISO22301作为了解组织状况的一部分,可指导管理人员辨识管理体系范围内可能影响组织完成BCMS目的的问题以及目标的内外部问题。外部问题可能包括法律和法规要求、供应链风险、合作伙伴、其他利益相关方,例如客户和可能导致中断的外部危害。内部问题可能包括产品和服务面临的风险,或是阻碍组织执行持续改进过程或其他活动的障碍。此外,大多数风险通过初始访问和调查,最终根据风险和运营影响分析的结果进行辨识。

  许多组织将目标声明作为政策文件的一部分,称为战略重点或关键成果领域。这些声明简明扼要地阐述了一般情况下,由谁按照引导组织解决某一特定问题的时间表来实现什么目的。

  在构建方案时,具体的目的和目标可采用项目计划(甘特图)表示,由此形成实施计划。绘制这样的计划很有利,因为管理者可以依此计划组织标准规定的其他要求。

  列明目标和目的的项目计划为档案文件,并根据实际情况的变更进行更新。

  要注意保持并传达所制定的目标,如恢复时间目标、风险降低项目或任何可接受的最低服务水平。

  应以某种方式(指标)对重大成果进行监测,如向高级管理层和指导委员会定期报告实施的任何纠正措施。

  列出执行BCMS所需的高层次步骤和基本的详细步骤,确定前导步骤(按时间排序),估计预计完成日期,并在计划/图表中分配负责人。这有助于为各个流程建立准则。

  如果不使用甘特图,可采用热图显示重大成果或指标实现进度,这是激励个人实现自己的目标或可交付成果(热图可配合甘特图使用)的有效方式。

  该项目计划应涵盖方案的整个范围和所有目标。应规划准备、响应、缓解、风险和运营影响分析等等。视条件和情况需要调整时间表,同时,必须检查和监督计划的变更,以确保它们不会造成不良影响。

  在项目计划中确定的资源将有助于显示所需的管理层支持,使计划取得成功。这样能够证明资本和费用预算正在不断支持管理体系及其要求,包括管理程序所需要的。

  6、能力和意识

  能力应与责任相称。必须确定负责履行其BCMS相关义务的各方所需的能力水平,且填补要求与个人能力之间的差距。

  业务连续性管理领导和员工必须具有较高的能力水平。任何提升水平或为员工提供建议的顾问也应满足类似要求。

  通常来说,组织中的每个人都需要明白此政策存在的意义,以及其在灾难发生期间和之后在该计划下的责任。即使没有分配任务的人员,也应有这种意识。

  根据主题和受众,培训和意识教育能够通过多种方式提供,包括:

  小结

  建立业务持续管理体系(BCMS)组织,是保证业务连续性管理工作成功的基础,是组织高层管理人员对方案作出郑重而明确的承诺、争取选择方案的适用范围和目标。

  组织的业务连续性管理人员对组织状况的完整了解,能够推动政策和流程的关键。在制定管理体系的早期阶段,掌控管理体系实施的最佳方法是决定项目规划和采用甘特图(Gantt )。项目规划应识别方案中存在的风险,并确定适用性声明或风险评估和运营影响分析之间的关联,以及控制风险的措施。RACI(负责、问责、咨询和通知)矩阵可以用来说明何时应进行整个组织的角色、责任和权力的分配。对与责任水平相对应的能力和意识进行检查,并纠正差距。

相关链接;

·连载②‖业务连续性——标准的理解
·连载①‖业务连续性——定义与沿革
·【独家】“2017城市商业银行研讨会”成功举办
·【独家】2017农信系统技术交流研讨会成功举办
·创新奖项目分享——大黄蜂智能安全监控平台
·杰出奖获项目分享——太保数据安全治理项目
·【独家】2016年度保险信息化技术峰会成功举办
·【新书推荐】从准备到灾难恢复——基于标准的业务连续性管理

作者: 来源:金融时代网 发布时间:2017-12-08 02:26:27
 
 
  我要发表留言  查看所有评论
 

*
 限制字数显示剩余字数,最大长度: 500 还剩: 500
用户名:
       尊重网上道德,承担一切因您的行为而直接或间接导致的民事或刑事法律责任